【翻译】为什么你需要一个API网关来管理对你的API的访问？

作者：阿曼德-苏尔坦托诺 2022年2月9日

原文为Armand Sultantono在Snapt的博客上发表的客座文章

越来越多的组织正在向API驱动的架构转变。这种强大的方法可以帮助他们快速创新，与最好的外部服务整合，并比以前更快地提供新的服务。

然而，随着API对业务运行越来越重要，提供可靠和一致的服务，同时保护API不被滥用或利用是至关重要的。API网关提供了一个安全和控制层，对保护你的数据和保持你的API高度可用至关重要。在这篇博文中，我们将探讨这些好处。

API的现状

每个组织的API数量惊人，这是因为依赖API来支持应用程序、服务和网络之间永远增加的连接数量，以及对实时数据的需求。甚至早在2018年，Akamai就报告说，"API调用占网络流量的83%"。

企业正在将他们的IT注意力--和投资--集中在API上，以实现互联应用的这种增长，并从数据中提取最大价值。

谷歌的《2021年API经济状况报告》说。"展望未来，我们的研究表明，企业计划增加对API项目的投资。企业报告说，他们在2021年的主要优先事项包括关注API安全和治理（50%），API采用的增长和管理（41%），投资建设开发者社区（38%），通过API货币化创收（31%），公开提供更多服务和数据（31%），以及增加对API运营和监测的投资（20%）。

每个行业都有无穷无尽的API应用案例，但金融和支付行业是API扩散的最佳例证。例如，在这个行业采用开放银行是一个全球性的现象，由监管运动和不断变化的消费者行为所推动。开放银行业务可以帮助银行和其他金融机构降低成本，并通过向客户提供实时访问银行数据的机会为他们提供更多的选择。开放银行经常导致用户体验的改善，包括为消费者提供更多的选择和更低的价格，以及为金融服务提供商提供丰富的数据，以便根据借款人的风险水平快速批准贷款。开放银行的骨干是第三方服务和消费者应用之间的安全可靠的API接口。

API价值链

API价值链是 "数字价值链 "的同义词--一连串的转变过程，如同一条无边无际的工厂的数字流水线。API是连接不同系统的新方式，实现数字价值链，释放创新和货币化。

一个API价值链，以其最简单的形式，可以被描述为有两个方面。API供应商 和 API消费者。

让我们看看下图中的角色，它描述了连接不同系统的API，释放创新和货币化。

从左到右移动。

终端用户与用户体验互动。如今，这通常是一个网络浏览器或移动应用程序。
应用开发者是API消费者，他们将API产品转化为面向客户的应用。在这个例子中，这些是 "合作伙伴 "应用开发者，他们消费另一个组织提供的外部API，并通过将API提供者的数据转化为他们的产品和服务来创造价值。
API产品 是可供消费的精心策划的API。它们都有很好的文件记录，并可能为消费提供货币。
API团队 是API所有者、API开发者和更广泛的工程团队，负责将原始的内部API从后端系统呈现为可呈现的API产品。他们负责设计和维护可靠、高性能和安全的API。
后台系统 是由服务器上的数据组成的数字资产，随时可以被挖掘出价值。

API的挑战

虽然API在分享数据和服务方面越来越受欢迎，但它们也越来越复杂，对这些API的访问管理很快就会成为API提供商的噩梦。

安全和访问控制

API是通往企业最宝贵的数字资产的通道。随着网络上的API数量不断增加，预计2022年API将超过网络应用，成为第一大攻击媒介，这并不奇怪（来源：apisecurity.io）。为你的API提供全面的保护比以往任何时候都更重要。

最关键的API安全风险围绕着暴露宝贵数据的访问控制。API，就其性质而言，暴露了有价值的数据，包括敏感信息，如个人身份信息（PII）。

应用逻辑也可能在无意中暴露出来，并为你的组织创造漏洞载体。未经授权或过度的访问可能会导致数据泄露给未经授权的各方，并进入恶意行为者的数据利用、数据操纵或完全接管账户。

可靠性和性能

为了满足消费者对实时数据的需求，需要高性能的应用程序，并由可扩展和高度可靠的基础设施提供支持。这意味着在API价值链的背景下满足你的API消费者的服务水平协议（SLA）。

例如，为了给高薪客户提供最好的服务等级和对API的访问，必须将可用性、吞吐量、响应时间或质量的服务等级目标（SLO）保持在最高水平。

可见性和治理

俗话说："你看不到的东西，你就不能保证安全"。API是新的可见性挑战，因为它们是如此普遍地将服务和数据相互连接起来，毫不奇怪，大多数组织没有意识到他们的整个API资产或 "蔓延"。

导致蔓延的其他因素是云原生和微服务架构，持续的软件开发推动了新的API版本，以及典型的孤岛式开发挑战。

许多组织每周都会增加新的API和淘汰旧的API，往往是由多个团队或来源进行的，所以也不一定符合治理标准。因此，API是移动的目标，管理你的API资产需要全面的可见性和警惕性。

什么是API网关？

在其最基本的形式中，API网关接收API请求并返回答案，在API消费者和一个或多个API服务之间充当中间人或 "中间件"。API网关处理整个API服务系统的共同任务，如用户认证、速率限制、实时指标等。

API网关的目的是提供一个面向消费者的门面，以隐藏你的内部网络中的许多后端应用程序，这些应用程序通常可能是应用程序代码和平台的混合物：虚拟机上的传统单体应用程序，或容器化或无服务器微服务。

从本质上讲，API网关是管理大规模访问你的API的主要控制点。

为什么我需要一个API网关？

API网关对于克服安全和访问、可靠性和性能、以及可见性和治理等API挑战至关重要。

如果没有API网关，你将需要构建复杂的路由规则并编写自定义代码，以处理消费者和第三方系统可能访问你的API的所有不同方式。API网关使访问你的API变得简单，同时也确保它们在所有的消费方式中是安全的、可靠的和一致的。

此外，一个与平台无关的API网关将支持API访问，无论你的服务在哪里或如何在你的转型之路上被托管。

一个API网关将。

抵御常见和特定的API漏洞。API保护通常以网络应用和API保护（WAAP）防火墙的形式出现，这是专门为保护网络应用和API而设计的高度专业化工具。
防止未经授权的访问，同时只允许经授权的用户访问他们所需的信息，必要时还可实施计量和公平使用。
确保服务质量（QoS）和服务水平协议（SLA）。所有层级的消费者（如 "青铜 "和 "白金"）必须通过保持最高程度的可靠性和性能，获得可接受的SLA。API网关需要动态路由、服务健康检查、性能不佳或失败的服务的电路中断，以及更多。
管理对多个API版本的访问。随着你的应用的扩展，新的API将出现，现有的API将退役，然而，消费者仍然希望在一个地方找到你的所有服务，了解如何使用较新版本的API，并按照自己的节奏过渡到这个版本。
无论内部微服务的数量或构成如何，都要为外部消费者提供一个单一的入口点。一个基于微服务的架构可能由几十或几百个异质服务组成。
通过实时分析和监控，提供对消费者如何使用你的API的洞察力。
通过访问配额和计费来管理API货币化战略。
促进服务网状结构中微服务之间的安全内部通信。

总结

由于API对企业的运行越来越重要，因此，保护和访问这些API是非常重要的。

如果一个API网关听起来像是你需要的东西，以便跟上不断变化的技术趋势，我们将在这里提供帮助!

今天就联系我们，了解Snapt Nova如何帮助您的企业在快速创新和提供新服务方面比以往任何时候都更成功 - 所有这些都不会影响对您最宝贵的资产的保护。